Verizon认为：要缓解信息破坏和信息泄露，必须进行日志审计
8
日志审计的必要性
Verizon：2013年数据破坏调查报告
Verizon联合世界18家信息安 全机构进行的一项全球调查
从47000件安全事件中提取并 详细分析了621起数据破坏事 件，涉及4480万笔泄漏的信 息
9
日志审计的必要性
Verizon：2013年数据破坏调查报告 20项关键安全控制措施
诺斯罗普 格鲁曼 CISO 联邦快递 CISO
EBay CIO
SAP CSO
BP C志审计的必要性
RSA ：当APT成为主流
The concept is appealing: Use an analytical engine to sift through massive amounts of real-time and historical data at high speeds to develop trending on user and system activity and reveal anomalies that indicate compromise.
Verizon认为：要缓解信息破坏和信息泄露，必须进行日志审计
10
日志审计的必要性
Verizon牵头世界50家信息安 全机构和企业进行的一项全球 调查 Verizon：2014年数据破坏调查报告 从63000多件安全事件中提取 并详细分析了1367起数据破 坏事件 涉及95个国家和地区
11
日志审计的必要性
Verizon：2014年数据破坏调查报告
Verizon认为：要缓解信息破坏和信息泄露，必须进行日志审计
12
日志审计的必要性
RSA的业务安全创新委员会的权威 调查分析报告，囊括了业界领袖的 重要观点 RSA ：当APT成为主流
摩根大通 CISO T-Mobile CISO
Nokia CISO
EMC CSO
21
日志审计的必要性：合规性要求
法律法规
《信息系统安全等级 化保护基本要求》 ISO27001:2005 《企业内部控制基本 规范》
《企业内部控制应用 指引》 《商业银行内部控制 指引》
相关条款
《银行业信息科技风 险管理指引》
《证券公司内部控制 指引》 《保险公司信息系统 安全管理指引（试 行） 》 《互联网安全保护技 术措施规定》（公安 部82号令）
报告指出：要防范APT等这类新型威胁和攻击，必须进行主动地 智能监测，其核心就是要收集来自IT架构不同层面的日志/数据， 进行安全日志/数据分析，获得对网络和业务系统的可见性
14
日志审计的必要性
SANS：2011年度日志管理调查报告
采访了747个涵盖大中小规模 的组织，超过89%的受访者都 表示收集了日志，并进行了日 志管理
通过日志可以了解信息系统的运行状况
通过分析信息系统的安全日志可以检验信息系 统安全机制的有效性
日志审计
3
日志审计的作用
最朴素的需求： “一旦出了问题要能够提取相关的日志，为事后调查提供依据”
安全审计通过收集存储网络上所有软 硬件设备产生的日志、审计信息，根 据策略进行存储，为事后取证提供依 据 对所收集的信息进行汇总、分析、报 警，对安全问题进行挖掘，提供各种 报表，帮助管理员更好的掌握网络情 况
1.
2.
3. 4. 5.
在国标GB 17859-1999计算机信息系统安全保护等级划分准则中 有对审计的规定，其中第二级就定义为“系统审计保护级” 《信息系统安全等级化保护基本要求》二级以上
– 包括各行业依照《基本要求》制定的行业等保基本要求
《萨班斯（SOX）法案》第404款 《互联网安全保护技术措施规定》第八条 《企业内部控制基本规范》及其配套《企业内部控制应用指引》第 六条 6. 《银行业金融机构信息系统风险管理指引》第四十六条 7. 《商业银行内部控制指引》第一百二十六条 8. 《银行业信息科技风险管理指引》第二十五、二十六、二十七条 9. 《证券公司内部控制指引》第一百一十七条 10. 《证券期货业信息系统安全等级保护基本要求（试行）》 11. 《保险公司信息系统安全管理指引（试行） 》第三十一、四十三、 四十四条 12. 《ISO27001:2005 》4.3.3小节、 《ISO27002:2005 》10.10小 节
15
日志审计的必要性
收集日志的原因排行
1）监测/跟踪可疑行为 2）取证与关联分析
3）满足合规的需要
16
日志审计的必要性
SANS：2012年度日志管理调查报告
采访了600多位涵盖大中小企 业的专业人士，他们都认为必 须进行日志审计
17
日志审计的必要性
SANS：2012年度日志管理调查报告
检测/追踪来自内部/外部的可疑行为 取证与关联分析 阻止突发安全事件
4
日志审计的必要性
Verizon：2011年数据破坏调查报告
Verizon联合美国特勤局和荷 兰国家高技术犯罪小组进行的 一项全球调查
5
日志审计的必要性
Verizon：2011年数据破坏调查报告
69%的攻击行为实 际上都有日志留存
Verizon认为：要缓解信息破坏和信息泄露，必须进行日志审计
6
日志审计的必要性
收集日志的原因排行
18
日志审计的必要性
SANS：2013年度日志管理调查报告
采访了647位涵盖大中小企业 的专业人士，他们都认为必须 进行日志审计. 探讨了如何做好日志审计
19
日志审计的必要性
SANS：2013年度日志管理调查报告
日志管理平台 SIEM
用什么来收集和分析日志？
20
日志审计的必要性：合规性要求
Verizon：2012年数据破坏调查报告
Verizon联合美国特勤局和荷 兰国家高技术犯罪小组、澳洲 联邦警局、以及爱尔兰、英格 兰的机构进行的一项全球调查
分析了超过855起安全事件， 涉及1.74亿笔泄漏的信息
7
日志审计的必要性
Verizon：2012年数据破坏调查报告
84%的攻击行为实 际上都有日志留存
泰合TSOC-SA日志审计系统介绍
An Executive Overview to TSOC-SA
日志审计需求分析
目录
泰合TSOC-SA日志审计系统介绍 产品特点与价值 功能详述
服务优势
2
从日志到日志审计
日志是对信息系统产生的事件的记录，包括了 构成信息系统的主机、网络、安全设备或系统、 应用等